UNIVERSIDAD NACIONAL DEL SANTA

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMTICA

DESARROLLO DE UNA VIRTUAL PRIVATE NETWORK (VPN) PARA LA INTERCONEXIN DE LA EMPRESA EL CORTIJO CON SUS SUCURSALES
INTEGRANTES : CARRUITERO FAJARDO YOVANA MAZA RAMOS MIGUEL ROMERO ZEGARRA BRUNO VELASQUEZ RUIZ JOSE

DOCENTE

ING. KENE REYNA ROJAS

ASIGNATURA

REDES DE COMPUTADORAS

Nuevo Chimbote, 17 de Enero del 2013

INDICE

I.

DATOS DE LA EMPRESA 1.1. RESEA HISTORICA 1.2. UBICACIN GEOGRFICA 1.3. MISION 1.4. VISION 1.5. ORGANIGRAMA 1.6. OBJETIVOS 1.7. POLTICAS

II. MARCO TERICO 2.1. DEFINICION DE UNA VPN 2.2. CARACTERISTICAS FUNCIONALES DE UNA VPN 2.3. VENTAJAS E INCONVENIENTES DE UNA VPN 2.3.1. VENTAJAS 2.3.2. INCONVENIENTES 2.4. ELEMENTOS PRINCIPALES DE UNA VPN 2.4.1. SERVIDOR VPN 2.4.2. CLIENTE VPN 2.4.3. TNEL 2.4.4. CONEXIN VPN 2.4.5. PROTOCOLOS DEL TNEL 2.4.6. DATOS DEL TNEL (TUNELED DATA) 2.4.7. RED DE TRANSITO 2.5. REQUERIMIENTOS BSICOS DE LA VPN 2.5.1. AUTENTICACIN DE USUARIO. 2.5.2. ADMINISTRACIN DE DIRECCIN. 2.5.3. ENCRIPTACIN DE DATOS. 2.5.4. ADMINISTRACIN DE LLAVES. 2.5.5. SOPORTE DE PROTOCOLO MLTIPLE. 2.6. LOS 3 ESCENARIOS MAS COMUNES DE VPNs 2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN) 2.6.2. SITE-TO-SITE VPN (VPN entre sitios) 2.6.3. EXTRANET VPN 2.7. TOPOLOGAS DE VPN 2.7.1. TOPOLOGA DE VPN UTILIZANDO ACCESO REMOTO (firewall cliente) 2.7.2. TOPOLOGA DE VPN LAN-TO-LAN 2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT

2.8. ANALISIS DE PROTOCOLOS 2.8.1. CARACTERSTICAS BASICAS DE UN ANLISIS DE SEGURIDAD 2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP) 2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP) 2.8.1.3. IP SECURITY IPSec (Internet Protocol Security) 2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC. 2.8.1.3.2. OTRAS SOLUCIONES 2.8.1.3.2.1. Secure shell (SSH) 2.8.1.3.2.2. CIPE Crypto Encapsulation 2.8.1.3.2.3. RFC 1234 : Tunneling IPX Traffic through Networks 2.8.1.3.2.4. RFC 2004: Minim al Encapsulation within IP 2.9. TNELES 2.9.1. MODELOS DE ENTUNELAMIENTO 2.10. PAQUETE DE ENCRIPTACIN IP 2.10.1. CAPAS Y CIFRADO DE RED 2.10.1.1. EN EL NIVEL DE RED 2.10.1.2. EN EL NIVEL DE SOCKET 2.10.1.3. EN EL NIVEL DE APLICACIN

III. PROBLEMA IV. SOLUCION V. JUSTIFICACION

VI. DISEO EN PACKET TRACER 6.1. ESQUEMA DE RED SUCURSAL TRUJILLO 6.2. ESQUEMA DE RED SUCURSAL CORNIJO 6.3. ESQUEMA DE RED SUCURSAL PORVENIR 6.4. ESQUEMA DE LA SOLUCIN CON VPN VII. COSTO DE DISEO PROPUESTO

VIII. CONCLUSIONES

I. DATOS DE LA EMPRESA:

1.1. RESEA HISTORICA Empresa de Transportes EL CORTIJO S.A fue fundada el 29 de Agosto del ao 1997, y que se fund con la iniciativa de prestar servicio de transporte masivo de pasajero en Trujillo Metropolitano, se inscribi bajo los trminos Sociedad Annima con la participacin de 20 accionistas. Si bien es cierto contbamos con una flota vehicular de 20 unidades, Insuficiente para cubrir el servicio, es que nos abocamos a establecer el crecimiento de la flota, para poder brindar un mejor servicio, llegando a conformar hasta el ao 1999 una flota de 34 Unidades vehiculares. A partir del 2000 el Directorio de Turno de la Empresa elaboro un proyecto de desarrollo de Empresa dentro de ese proyecto estaba la Construccin de un terminal, a la vez se consider gestionar el permiso de un consumidor interno de combustible, un servicio de cambio de aceite, un lavadero de presin, venta de llantas, servicio de frenos y servicios adicionales, afines del rubro de transportes, llegando a desarrollar a la fecha el 80 % de nuestro proyecto. La Empresa de Transporte EL CORTIJO S.A en la actualidad cuenta con una flota operativa de 131 unidades prestando un servicio a satisfaccin del Pblico usuario.

1.2. UBICACIN GEOGRAFICA La empresa de Transporte El cortijo S.A tiene domicilio social en la Av. Jaime Blanco No 2901-2999, AA.HH Kumamoto, El Porvenir. Provincia de Trujillo, Departamento de la Libertad.

1.3. MISION E.T.E.C.S.A es una Empresa que se dedica al transporte de pasajeros en diferentes rutas

locales. Desde su creacin brinda el mejor servicio al pblico en general marcando la diferencia, contribuye con la movilizacin de las personas a sus lugares de destino, facilitando un servicio de calidad y tarifas justas de pasajes manteniendo un clima donde impera el respeto, justicia, honradez y el cumplimiento de reglas y normas de trnsito y el cuidado del medio ambiente.

1.4. VISION E.T.E.C.S.A desea en 5 aos llegar a ser la mejor empresa de transporte urbano en brindar una calidad nica y garantizada, manteniendo un trabajo en equipo y la prctica de valores tanto con el personal de la organizacin como para el pblico en general, alcanzando un reconocimiento de calidad de servicio y convertirse en una empresa slida.

1.5. ORGANIGRAMA
PRESIDENTE DEL DIRECTORIO

SECRETARIA

GERENTE GENERAL

DIRECTOR DE ECONOMIA

DIRECTOR DISCIPLINA Y TRANSPORTES SUPERVISION DE UNIDADES

DIRECTOR DEL PERSONAL

CONTABILIDAD INTERNA

VIGILANCIA Y LIMPIEZA

COBRANZA

DESPACHO DE LUBRICANTES

CONDUCTORES DE UNIDADES DE TRANSPORTE

ABASTECIMIENTO DEL COMBUSTIBLE

1.6. OBJETIVOS DE LA EMPRESA Lograr eficaz y eficiente servicio de transporte urbano de personas en la Ruta: Trujillo metropolitano- El Provenir y viceversa,en mnibus y unidades autorizadas por el M.P.T. Prestacin de servicios de transporte turstico, de acuerdo con la autorizacin operacional que otorgen los Organismos Pertinentes. La prestacin de servicio de prevencin, mantenimiento y reparacin de los vehculos motorizados que estn adjudicados al servicio pblico de transportes de personas en las rutas autorizadas. La prestacin de servicio pblico de personas en Trujillo Metropolitano, para lo cual contar con la correspondiente autorizacin

1.7. POLITICA DE LA EMPRESA Hacer cumplir las disposiciones legales vigentes en materia de seguridad e higiene, relativos al servicio de transporte pblico de personas en Trujillo Metropolitano, en las rutas autorizadas por la M.P.T, las mismas que estn amparadas en las Resoluciones de Permiso de Operacin. Respetar las normas constitucionales, aplicarlas, as como las leyes, normas y disposiciones legales que en materia laboral sean pertinentes aplicarlas al personal dependiente de la empresa y en el caso de los conductores o cobradores u otro personal eventual que labore para los propietarios de las unidades de transporte pblico, aplicar las disposiciones emanada de la Municipalidad Provincial de Trujillo, respecto al comportamiento con el usuario, con relacin al buen trato que deben tener con los pasajeros, especialmente con los nios, ancianos y minusvlidos. Respetar la dignidad de los pasajeros o usuarios del transporte pblico; respetar sus sentimientos, creencia e ideologa de los socios, de los trabajadores, de los conductores y cobradores. Establecer la poltica adecuada para prevenir, investigar y resolver los conflictos laborales de acuerdo con los fines y objetivos de ETECSA. Disponer que la gerencia y dems niveles jerrquicos de la empresa, guarden el debido respeto y observen buen trato con los accionistas, los conductores y cobradores, respetando las normas de disciplina impuestas por la empresa para la buena marcha de la sociedad en beneficio del pblico usuario. Exigir a los socios o terceros que las unidades de servicio pblico se encuentren en buen estado de conservacin. Disponer la suscripcin de los contratos al socio que emplee su unidad y personal operativo para el cumplimiento de una comisin de servicio

II.

MARCO TERICO:

2.1.DEFINICION DE UNA VPN Una Red Privada Virtual (VPN) es una forma de compartir y transmitir informacin entre un crculo cerrado de usuarios que estn situados en diferentes reas geogrficas. Es una red de datos de gran seguridad que utilizando Internet como medio de transmisin permite la transmisin de informacin confidencial entre la empresa y sus sucursales, sus socios, sus proveedores, sus distribuidores, sus empleados o sus clientes. Aunque Internet es una red pblica y abierta, la transmisin de los datos se realiza a travs de la creacin de tneles virtuales, asegurando la confidencialidad e integridad de los datos transmitidos.

Figura: Esquema de una Red VPN

Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra, por medio de la conexin de los usuarios de distintas redes a travs de un "tnel" que se construye sobre Internet o sobre cualquier otra red pblica, negociando un esquema de encriptacin y autentificacin de los paquetes de datos para el transporte, permitiendo el acceso remoto a servicios de red de forma transparente y segura con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN estn implementadas con firewalls, con routers para lograr esa encriptacin y autentificacin. Es as como las Redes Privadas Virtuales (VPN) se convierten en un componente importante dentro de un ambiente corporativo ya que tienen como objetivo utilizar una infraestructura de redes publicas para la comunicacin en vez de utilizar conexiones privadas o estructuras de acceso remoto que poseen un costo elevado, permitiendo compartir y transmitir informacin de forma segura y confidencial entre una empresa y sus sucursales, socios, proveedores, etc.

2.2.CARACTERISTICAS FUNCIONALES Para que una VPN proporcione la comunicacin que se espera, el sistema que se implante ha de contemplar varios aspectos de funcionamiento para determinar que ser una buena solucin.

Transparente a las aplicaciones Las aplicaciones no necesitan adaptarse a este nuevo mecanismo sin afectar el correcto funcionamiento de las aplicaciones.

Confidencialidad Los datos que circulan por el canal slo pueden ser ledos por el emisor y el receptor. La manera de conseguir esto es mediante tcnicas de encriptacin.

Autentificacin El emisor y el receptor son capaces de determinar de forma inequvoca sus identidades, de tal manera que no exista duda sobre las mismas. Esto puede conseguirse mediante firmas digitales o aplicando mecanismos desafo-respuesta.

 Integridad Capacidad para validar los datos, esto es, que los datos que le llegan al receptor sean exactamente los que el emisor transmiti por el canal. Para esto se pueden utilizar firmas digitales.

No repudio Cuando un mensaje va firmado, el que lo firma no puede negar que el mensaje lo emiti l.

Control de acceso Capacidad para controlar el acceso de los usuarios a distintos recursos.

Viabilidad Capacidad para garantizar el servicio. Por ejemplo para las aplicaciones de tiempo real.

2.3.VENTAJAS E INCONVENIENTES 2.3.1. VENTAJAS Una VPN permite disponer de una conexin a red con todas las caractersticas de la red privada a la que se quiere acceder. El cliente VPN adquiere totalmente la condicin de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de un ordenador en esa red privada, pudiendo acceder a la informacin publicada para esa red privada a travs de un acceso pblico. Al mismo tiempo, todas las conexiones de acceso a Internet desde el ordenador cliente VPN se realizaran usando los recursos y conexiones que tenga la red privada.

Representa una gran solucin en cuanto a seguridad, confidencialidad e integridad de los datos y reduce significativamente el costo de la transferencia de datos de un lugar a otro. Simplifica la integracin y crecimiento de una Red ya que la VPN provee una solucin propietaria flexible y escalable para su implementacin y crecimiento. Permite la integracin de diversos ambientes computacionales en una sola red de informacin cohesiva. Esto se debe fundamentalmente a estar basado en estndares abiertos. Minimiza el costo de administracin y soporte de la red. Las VPN ayudan a aumentar la productividad del personal de soporte y administracin de la red. Provee un punto central para la distribucin de software y updates, manuales, etc. El browser al ser nico, reduce los costos de entrenamiento de personal, pues emplea aplicaciones existentes o nuevas manteniendo la misma apariencia a travs de todas las aplicaciones.

2.3.2. INCONVENIENTES Mayor carga en el cliente VPN puesto que debe realizar la tarea adicional de encapsular los paquetes de datos, situacin que se agrava cuando adems se realiza encriptacin de los datos; lo cual origina que las conexiones sean mucho mas lentas. Mayor complejidad en el trfico de datos que puede producir efectos no deseados al cambiar la numeracin asignada al cliente VPN y que puede requerir cambios en las configuraciones de aplicaciones o programas (proxy, servidor de correo, permisos basados en nombre o nmero IP) . Las VPN primero deben establecer correctamente las polticas de seguridad y de acceso.

2.4. ELEMENTOS PRINCIPALES DE UNA VPN 2.4.1. Servidor VPN

Es un servidor que se pone como gateway en la salida de Internet de la red. Permite conectarse con otros servidores VPN generando tneles de comunicacin seguros con otras redes o usuarios remotos, proporcionando una conexin de acceso remoto VPN o una conexin de enrutador a enrutador.

2.4.2. Cliente VPN

El cliente VPN permite la comunicacin privada virtual iniciada desde el cliente de la red (VPN). Es en si una computadora que inicia una conexin VPN con un servidor VPN. Un cliente VPN o un enrutador tiene una conexin de enrutador a enrutador a travs de una red pblica, as es como los usuarios finales logran la comunicacin dentro de un ambiente de la empresa que requieren una conexin segura del extremo usuario-aanfitrin.

2.4.3. Tnel Porcin de la conexin en la cual sus datos son encapsulados.

2.4.4. Conexin VPN Es la porcin de la conexin en la cual sus datos son encriptados. Para conexiones VPN seguras los datos son encriptados y encapsulados en la misma porcin de la conexin.

2.4.5. Protocolos del Tnel Se utiliza para administrar los tneles y encapsular los datos privados. Los datos que son enviados por el tnel deben de ser encriptados para que sea una conexin VPN.

2.4.6. Datos del Tnel (Tuneled Data) Datos que son generalmente enviados a travs de un enlace VPN.

2.4.7. Red de Transito

La red pblica o compartida que es cruzada por los datos encapsulados. Generalmente una red IP. La red de trnsito debe ser Internet o una intranet IP privada.

Figura: Elementos de una VPN

2.5. REQUERIMIENTOS BASICOS DE LAS VPN

Por lo general, al implementar una solucin de red remota, una compaa desea facilitar un acceso controlado a los recursos y a la informacin de la misma. La solucin deber permitir la libertad para que los clientes roaming o remotos autorizados se conecten con facilidad a los recursos corporativos de la red de rea local (LAN). As como las oficinas remotas se conecten entre si para compartir recursos e informacin (conexiones de N).

Por ltimo, la solucin debe garantizar la privacidad y la integridad de los datos al viajar a travs de Internet pblico. Lo mismo se aplica en el caso de datos sensibles que viajan a travs de una red corporativa.

Por lo tanto, una VPN debe presentar los siguientes requerimiento bsicos:

2.5.1. Autenticacin de usuario.

La solucin deber verificar la identidad de un usuario y restringir el acceso de la VPN a usuarios autorizados. Adems, deber proporcionar registros de auditoria y registros contables para mostrar quin accedi a qu informacin, y cundo lo hizo.

2.5.2. Administracin de direccin.

La solucin deber asignar una direccin al cliente en la red privada, y asegurarse de que las direcciones privadas se mantengan as.

2.5.3. Encriptacin de datos.

Los datos que viajan en una red pblica no podrn ser ledos por clientes no autorizados en la red.

2.5.4. Administracin de llaves.

La solucin deber generar y renovar las llaves de encriptacin para el cliente y para el servidor.

2.5.5. Soporte de protocolo mltiple.

La solucin deber manejar protocolos comunes utilizados en las redes pblicas; stos incluyen protocolo de Internet. Una solucin de VPN de Internet basada en un Protocolo de tnel de punto a punto (PPTP).

2.6. LOS 3 ESCENARIOS MS COMUNES DE VPNs 2.6.1. VPNs Y ACCESO REMOTO (Remote Access VPN)

La mayora de las compaas necesitan proveer acceso remoto a los empleados. Generalmente se utiliza una conexin dial-up (DUN) del cliente al servidor de acceso remoto (RAS) va mdems. Para acceso remoto VPN hay que considerar: tecnologa en la Workstation cliente, qu sucede entre el cliente y el servidor VPN, el servidor VPN y finalmente la relacin con el usuario remoto.

El usuario remoto puede ser un empleado o individuo de menor confianza (un consultor a partner de negocios). Usualmente, el cliente de la Workstation estar corriendo bajo el SO Windows, pero podr ser una estacin MAC, Linux o Unix. SOs pre W2K y Workstation que no sean Microsoft imponen algunas limitaciones sobre los tipos de protocolos VPN y autenticaciones que se pueden usar. Para SOs pre-Win2k se pueden eliminar algunas de estas limitaciones haciendo un download desde Microsoft.

Cmo accede el usuario remoto al VPN Server va Internet no es de importancia. Pero si debe considerarse el ancho de banda apropiado para que la conexin tenga sentido. Normalmente los proveedores de Internet (ISP) no bloquean los protocolos que se utilizan. Slo puede haber problemas en el caso de que el usuario remoto trate de conectarse al VPN Server (va Internet) desde dentro de una red (un empleado visitando un cliente o proveedor) y deba pasar un firewall. Para este tipo de situaciones, una solucin es un http-tunnel, que permite llegar a Internet va el puerto 80 de http y entonces establecer el tnel VPN.

Una vez que el usuario remoto "disca" al nmero IP del servidor VPN se ingresa a la etapa de autenticacin y autorizacin. Bsicamente: quin es usted?: Nombre de usuario y password y luego, de qu modo lo autorizo a entrar en la red? (horario, protocolo). Toda sta infraestructura deber ser configurara por el administrador para garantizar seguridad.

Segn el protocolo en uso y el SO en el servidor VPN y usuario remoto, existirn diferentes modos de autenticar (passwords tradicionales, certificados de usuario, tokens o biomtrica).

Finalmente si se desea que el usuario remoto pueda acceder a la intranet o si se lo limitar a reas especficas. Se puede implementar esta "restriccin" de diferentes modos: en el Server VPN, en los routers, o en las workstations y servers usando IPSec y polticas asociadas. En servidores VPN con W2K existe la posibilidad de usar Remote Acceses Policies (RAP).

En W2K uno puede por ejemplo restringir a usuarios o grupos de usuarios en el servidor VPN un grupo local o de dominio. Por ejemplo, si un consultor de Oracle entra en Intranet, se restringe el acceso al servidor correspondiente creando un grupo llamando Oracle Consultants, y se agregan las cuentas de usuarios. Entonces mediante la consola (MMC) de Routing and Remote Access (RRAS) se agrega una poltica de acceso remoto, se lo linkea al grupo Consultants y se agrega un filtro IP a la poltica que limite el trfico del usuario remoto a destino, el servidor Oracle.

2.6.2. SITE-TO-SITE VPN (VPN entre sitios)

Site-to-site conecta la LAN de una empresa que posee diferentes ubicaciones geogrficas, para ello emplea un link VPN a travs de Internet, reemplazando as lneas dedicadas que en general son muy caras. Todo lo que se necesita es un servidor W2K en cada sitio conectado a la LAN local. Este escenario no requiere autenticacin de usuario pero s deben autenticarse los servidores VPN entre s.

Cuando se establece la conexin VPN, uno de los servidores VPN asume el rol de cliente e inicia una conexin con otro servidor VPN. Despus de establecida la conexin VPN, los usuarios de cada sitio pueden conectarse a los servidores como si estuvieran en la misma red local.

Cmo saben los servidores VPN que cada uno es autntico y no un impostor? De acuerdo con el protocolo y el SO instalado en los servidores VPN, se puede basar la autenticacin site-to-site en contraseas asociadas con cuentas de usuario creadas para cada servidor, en llaves secretas pre-acordadas o en certificados para cada mquina emitidos por una autoridad certificadora (CA, Certificate Authority).

2.6.3. EXTRANET VPN

Permite conectar la red de una empresa con uno o ms "partners". Este escenario es muy similar a site-to-site aunque existen pequeas diferencias. Bsicamente la confianza entre ambas partes es diferente. Se permitir a una sucursal acceder a todos los recursos de la red corporativa (site-to-site), pero es posible limitarlos para un partner. Normalmente se los restringir a slo unos cuantos servidores de la red. Con el tipo de restriccin ya descriptos en Remote Access, podemos solucionar el problema.

La segunda diferencia con site-to-site es que muy probablemente nuestro "partner" use una solucin VPN diferente. Aparece aqu un problema de interoperabilidad a resolver. Para ello, se deber atender, por ejemplo, a qu protocolos se usan en ambas soluciones VPNs y a qu tipo de autenticacin se usar.

2.7. TOPOLOGIAS DE VPN

Existen muchos tipos de topologas de VPN que pueden adecuarse a las necesidades de una organizacin o se adaptan a una configuracin de red ya existente. Estas topologas pueden ser definidas a travs de acceso remoto (por ejemplo, una laptop tratando de acceder a un servidor de su organizacin), conexin entre dos LANs (Local Area Network), a travs de Intranet e Extranet, utilizando una tecnologa Frame Relay e ATM, VPN con Black-Box, VPN utilizando NAT (Network Address Translation).

Examinaremos ahora como funcionan algunas de las topologas de VPN mas usadas.

2.7.1. TOPOLOGA DE VPN UTILIZANDO ACCESO REMOTO (firewall cliente)

Este tipo de VPN es el mas comn y mas usado en nuestros tiempos. Nace de la necesidad de un cliente externo que se necesita conectarse a la red interna de una organizacin. Para que esto sea posible, la organizacin precisar tener un firewall instalado conteniendo los softwares necesarios para implementar a VPN. El cliente tiene que tener tambin instalado un software de criptografa compatible con los software del firewall.

La comunicacin ocurre cuando el cliente necesita de una comunicacin confidencial con la organizacin, y sin embargo no se encuentre localizado dentro de la empresa, o tal puede surgir si el cliente necesita acceder al servidor de organizacin a partir de una red externa. La figura inferior ilustra como se establece este tipo de comunicacin.

Figura: VPN de acceso remoto

Los pasos siguientes describen el proceso de comunicacin entre el equipo porttil y el firewall de la organizacin:

El usuario con el equipo porttil marca a su PSI local y establece una conexin PPP. El equipo porttil solicita las claves del dispositivo del firewall. El firewall responde con la clave apropiada. El software VPN instalado en el equipo porttil ve la solicitud echa por el usuario del equipo porttil, cifra el paquete y lo enva a la direccin IP publica de el Firewall. El firewall le quita la direccin IP, descifra el paquete y lo enva al servidor al que ha sido direccionado dentro de la LAN local. El servidor interno procesa la informacin recibida, responde a la solicitud y enva el documento de regreso. El firewall examina el trafico y reconoce que es informacin de tnel VPN as que toma el paquete, lo cifra y lo enva al equipo porttil. La pila de VPN en el equipo porttil ve el flujo de datos, reconoce que viene del dispositivo firewall, descifra el paquete y lo maneja en aplicaciones de niveles.

Figura: Diagrama de acceso remoto

2.7.2. TOPOLOGA DE VPN LAN-TO-LAN

Este tipo de topologa es la segunda mas utilizada, se usa cuando es necesario comunicar dos redes locales separadas geogrficamente. Las LANs pueden estar operando en diferentes plataformas como, por ejemplo, un firewall UNIX de un lado y un firewall NT del otro. Ellos pueden estar usando softwares de VPN diferentes, mas tienen que estar usando el mismo algoritmo de criptografa y estar configurados para saber que cuando ocurre algn trfico para uno u otro firewall, este tiene que ser criptografiado. Podemos observar en la figura inferior como se da el acceso entre dos redes de este tipo. Por ejemplo, un usuario de una LAN UNIX necesita de un archivo da LAN NT que ser transmitido por FTP (File Transfer Protocol). El usuario de la LAN UNIX intenta conectarse a travs de una aplicacin FTP con un servidor LAN NT. El paquete es enviado en forma de texto hacia el firewall LAN UNIX. El paquete es cifrado y se enva hacia una direccin IP pblica de el firewall LAN NT. Este firewall acepta y descifra el paquete y enva para o servidor al que se le ha enviado la informacin. Este responde y devuelve o paquete en forma de texto para o firewall da LAN NT. Este a su vez cifra el paquete y enva la informacin hacia el firewall da LAN UNIX que descifra y transmite la informacin para el usuario que solicito el requerimiento

Figura: diagrama de VPN LAN

2.7.3. TOPOLOGIA DE VPN UTILIZANDO NAT

(Network Address Translation) Traduccin de Direcciones de Nombres es el proceso de cambiar una direccin IP de una organizacin (una direccin privada de la organizacin) por una direccin IP pblica enrutable, es decir poseen la capacidad para esconder las direcciones privadas de una organizacin.

Entretanto, el NAT interfiere directamente en la implementacin de la VPN, pues cambia la direccin IP a la hora que el paquete de datos sale de la red interna. La utilizacin de NAT no resulta complicado, pero la ubicacin del dispositivo VPN es importante.

La figura inferior ilustra el proceso

Figura: Diagrama VPN con NAT

Los pasos siguientes describen el proceso de comunicacin de entrada y salida con un dispositivo NAT

Cuando un paquete precisa salir de la red interna, este es enviado hacia el firewall implementado con NAT. Este por primera vez, cambia la direccin IP enrutable El firewall implementado con NAT reenva el paquete al dispositivo VPN que realiza el proceso de cifrado del paquete. El paquete es enviado hacia el enrutador externo que sea transmitido a su destino. Cuando un paquete quiere entrar a una red interna debe primero dirigirse hacia el dispositivo VPN que verifica su autenticidad. Luego este paquete es ruteado hacia el firewall implementado con NAT que cambia la direccin IP por el nmero original, este es enviado hacia el ruteador interno para ser dirigido hacia su destino.

2.8.

ANALISIS DE PROTOCOLOS

Los conocimientos que fundamentan a una VPN son una criptografa y un tunelamiento. Una criptografa se utilizada para garantizar la autentificacin, onfidencialidad e integridad de las conexiones y es la base para la seguridad de las redes; mas el tunelamiento es el responsable por el encapsulamiento y transmisin de los datos sobre una red publica entre dos puntos distintos.

Dentro del mercado existen diversos protocolos que nos proporcionan este servicio y que difieren entre si dependiendo del nivel del modelo ISO/OSI donde actan, de la criptografa utilizada y de como influye directamente el nivel de seguridad en el acceso remoto VPN.

2.8.1. CARACTERSTICAS BASICAS DE UN ANLISIS DE SEGURIDAD

Las caractersticas bsicas de un anlisis de seguridad de los principales protocolos utilizados actualmente para acceso remoto VPN en plataformas ya sea Windows Linux o Unix son las siguientes:

2.8.1.1. POINT-TO-POINT TUNNELING PROTOCOL (PPTP)

Point-to-Point Tunneling Protocol, es un protocolo que fue desarrollado por ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer una red privada virtual entre usuarios de acceso remoto y servidores de red.

Como protocolo de tnel, PPTP encapsula data gramas de cualquier protocolo de red en data gramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a travs de una red IP, como Internet.

La idea bsica de PPTP es la de dividir las funciones de acceso remoto de tal modo que las personas de las empresas pudiesen utilizar una infraestructura de Internet VXpara proveer una conectividad segura entre clientes remotos y redes privadas, es por eso que PPTP provee un mecanismo para tunelamineto de trafico PPP (Point to Point Protocol ) sobre redes IP.

Figura: Diagrama del Protocolo PPTP

El PPTP es un protocolo de red que permite el trfico seguro de datos desde un cliente remoto a un servidor corporativo privado, establecindose as una Red Privada Virtual (VPN) basada en TCP/IP. PPTP soporta mltiples protocolos de red (IP, IPX y NetBEUI) y puede ser utilizado para establecer dichas redes virtuales a travs de otras redes pblicas o privadas como lneas telefnicas, redes de rea local o extensa (LAN's y WAN's) e Internet u otras redes pblicas basadas en TCP/IP.

Una red privada virtual consiste en dos mquinas (una en cada "extremo" de la conexin) y una ruta o "tnel" que se crea dinmicamente en una red pblica o privada. Para asegurar la privacidad de esta conexin los datos transmitidos entre ambos ordenadores son encriptados por el Point-to-Point protocolo (PPP), un protocolo de acceso remoto, y posteriormente enrutados o encaminados sobre una conexin previa tambin remota, LAN o WAN, por un dispositivo PPTP.

La tcnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE), que puede ser usado para realizar tneles para protocolos a travs de Internet. La versin PPTP, denominada GREv2, aade extensiones para temas especficos como Call Id y velocidad de conexin.

El paquete PPTP est compuesto por un header de envo, un header IP, un header GREv2 y el paquete de carga. El header de envo es el protocolo enmarcador para cualquiera de los medios a travs de los cuales el paquete viaja, ya sea Ethernet, frame relay, PPP. El header IP contiene informacin relativa al paquete IP, como es, direcciones de origen y destino, longitud del data grama enviado, etc.

El header GREv2 contiene informacin sobre el tipo de paquete encapsulado y datos especficos de PPTP concernientes a la conexin entre el cliente y servidor. El paquete de carga es el paquete encapsulado, que en el caso de PPP, el data grama es el original de la sesin PPP que viaja del cliente al servidor y que puede ser un paquete IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del encapsulamiento PPTP.

Para la autenticacin, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y acepta cualquier tipo, inclusive texto plano. Si se utiliza CHAP (protocolo de autentificacin por reto), standard en el que se intercambia un "secreto" y se comprueba ambos extremos de la conexin coincidan en el mismo, se utiliza la contrasea de Windows NT, en el caso de usar este sistema operativo, como secreto. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliacin de CHAP. Para la tercer opcin, el servidor RAS aceptar CHAP, MS-CHAP o PAP (Password Autenthication Protocol), que no encripta las contraseas. Para la encriptacin, PPTP utiliza el sistema RC4.

2.8.1.2. LAYER TWO TUNNELING PROTOCOL (L2TP)

Layer Two Tunneling Protocol es una extensin del PPTP (Point-to-Point Protocol), que mezcla lo mejor de los protocolos PPTP de Microsoft y L2F de Cisco. Los dos componentes principales del L2TP son: El LAC (L2TP Access Concentrator), que es el dispositivo que fsicamente termina una llamada; y el LNS (L2TP Network Server), que es el dispositivo que autentifica y termina el enlace PPP. L2TP utiliza redes conmutadas de paquetes para hacer posible que los extremos de la conexin estn ubicados en distintas computadoras.

El usuario tiene una conexin L2 al LAC, el cual crea el tnel de paquetes PPP. As, los paquetes pueden ser procesados en el otro extremo de la conexin, o bien, terminar la conexin desde un extremo. L2TP soporta cualquier protocolo incluyendo IP, IPX y AppleTalk, as como tambin cualquier tecnologa de backbone WAN, incluyendo Frame Relay, modos de transferencia asncrono ATM, X.25 y SONET.

Figura: Diagrama del Protocolo L2TP

2.8.1.3. IP SECURITY IPSec (Internet Protocol Security)

IPSec es un conjunto de extensiones al protocolo IP. Es un estndar de la IETF (Internet Engineering Task Force) definido en el RFC 2401. Provee servicios de seguridad como autenticacin, integridad, control de acceso y confidencialidad. Es implementado en la capa de Red, de tal forma que su funcionamiento es completamente transparente al nivel de aplicaciones, y es mucho ms poderoso. IPSec provee un mecanismo estndar, robusto y con posibilidades de expansin, para proveer seguridad al protocolo IP y protocolos de capas superiores.

Figura: Diagrama del Protocolo IPSec

La arquitectura de IPSec define la granularidad con la que el usuario puede especificar su poltica de seguridad. Permite que cierto trfico sea identificado para recibir el nivel de proteccin deseado.

Figura: Diagrama de funcionamiento de IPSec

IPSec est diseado para proveer seguridad interoperable de alta calidad basada en criptografa, tanto para IPv4 como para IPv6 [RFC2401, 1998]. Est compuesto por dos protocolos de seguridad de trfico: el Authentication Header (AH) y el Encapsulating Security Payload (ESP), adems de protocolos y procedimientos para el manejo de llaves encriptadas. AH provee la prueba de los datos de origen en los paquetes recibidos, la integridad de los datos, y la proteccin contra-respuesta. ESP provee lo mismo que AH adicionando confidencialidad de datos y de flujo de trfico limitado.

En la figura inferior se aprecia la arquitectura de IPSec. Al utilizar el mecanismo de AH se aplican algoritmos de autenticacin, con la aplicacin del mecanismo ESP, adems de autenticacin, tambin algoritmos de encriptacin. El esquema de interoperabilidad se maneja a travs de Asociaciones de Seguridad (SA), almacenadas en una base de datos.

Los parmetros que se negocian para establecer los canales seguros se denominan Dominio de Interpretacin IPSec (Domain of Interpretation, DOI), bajo polticas preestablecidas dentro de un esquema de funcionamiento esttico con valores fijos y previamente establecidos, o bien, en un esquema de funcionamiento dinmico utilizando un protocolo de manejo de llaves, Interchange Key Exchange (IKE).

Figura II.10.9: Diagrama de la Arquitectura IPSec

2.8.1.3.1. MODOS DE FUNCIONAMIENTO DE IPSEC

El diseo de IPSec plantea dos modos de funcionamiento para sus protocolos: el de transporte y el de tnel, la diferencia radica en la unidad que se est protegiendo, en modo transporte se protege la carga til IP (capa de transporte), en modo tnel se protegen paquetes IP (capa de red) y se pueden implementar tres combinaciones: AH en modo transporte, ESP en modo transporte, ESP en modo tnel (AH en modo tnel tiene el mismo efecto que en modo transporte).

El modo transporte se aplica a nivel de hosts. AH y ESP en este modo interceptarn los paquetes procedentes de la capa de transporte a la capa de red y aplicarn la seguridad que haya sido configurada. En la figura siguiente se aprecia un esquema de IPSec en modo transporte, si la poltica de seguridad define que los paquetes deben ser encriptados, se utiliza ESP en modo transporte, en caso que solo haya sido requerida autenticacin, se utiliza AH en modo transporte.

Figura: Modos de funcionamiento de IPSEC

Los paquetes de la capa de transporte como TCP y UDP pasan a la capa de red, que agrega el encabezado IP y pasan a las capas inferiores. Cuando se habilita IPSec en modo transporte, los paquetes de la capa de transporte pasan al componente de IPSec (que es implementado como parte de la capa de red, en el caso de sistemas operativos), el componente de IPSec agrega los encabezados AH y/o ESP, y la capa de red agrega su encabezado IP.

En el caso que se apliquen ambos protocolos, primero debe aplicarse la cabecera de ESP y despus de AH, para que la integridad de datos se aplique a la carga til de ESP que contiene la carga til de la capa de transporte.

Figura: Cabeceras de IPSec

El modo tnel se utiliza cuando la seguridad es aplicada por un dispositivo diferente al generador de los paquetes, como el caso de las VPN, o bien, cuando el paquete necesita ser asegurado hacia un punto seguro como destino y es diferente al destino final. Como se ilustra en la figura inferior, el flujo de trfico es entre A y B, e IPSec puede aplicarse con una asociacin de seguridad entre RA y RB, o bien una asociacin de seguridad entre A y RB.

Figura: Flujo de paquetes

IPSec en modo tnel, tiene dos encabezados IP, interior y exterior. El encabezado interior es creado por el host y el encabezado exterior es agregado por el dispositivo que est proporcionando los servicios de seguridad. IPSec encapsula el paquete IP con los encabezados de IPSec y agrega un encabezado exterior de IP. IPSec tambin soporta tneles anidados, aunque no son recomend ados por lo complicado de su construccin, mantenimiento y consumo de recursos de red.

Figura II.10.8: Encabezados IP en modo tunel

2.8.1.4. OTRAS SOLUCIONES

La mayora de los cortafuegos y "routers" disponen de capacidades VPN. En muchos casos se trata de soluciones propietarias, aunque la mayora han migrado -o lo estn haciendo- a IPSec, otras posibilidades son:

2.8.1.4.1. Secure shell (SSH)

Protege conexiones TCP mediante criptografa (a nivel de OSI de presentacin, no a nivel de transporte o inferiores). Protege por tanto, conexin a conexin.

2.8.1.4.2. CIPE Crypto Encapsulation

Encapsula datagramas IP dentro de UDP. De momento slo est disponible para Linux. Para el cifrado se usa IDEA y BlowFish. Se trata de un proyecto en curso, bastante interesante.

2.8.1.4.3. RFC 1234: Tunneling IPX Traffic through Networks

Encapsulado de datagramas IPX (Novell Netware) sobre UDP.

2.8.1.4.4. RFC 2004: Minim al Encapsulation within IP

En vez de encapsular un datagrama IP dentro de otro (IP-in-IP), modifica el datagrama original y le aade informacin para deshacer los cambios. El protocolo IP asociado es el 55. 2.9. TUNELES

PPTP permite a los usuarios y a las ISPs crear varios tipos de tneles, basados en la capacidad del computador del usuario final y en el soporte de la ISP para implementar PPTP. De esta manera, el computador del usuario final determina el lugar de terminacin del tnel, bien sea en su computador, si est corriendo un cliente PPTP, o en el servidor de acceso remoto de la ISP, si su computador solo soporta PPP y no PPTP. En este segundo caso el servidor de acceso de la ISP debe soportar PPTP, a diferencia del primer caso, donde la ISP no se involucra en ningn proceso de entunelamiento de datos.

Dado lo anterior, los tneles se pueden dividir en dos clases, voluntarios y permanentes.

Los tneles voluntarios son creados por requerimiento de un usuario y para un uso especfico. Los tneles permanentes son creados automticamente sin la accin de un usuario y no le permite escoger ningn tipo de privilegio.

En los tneles voluntarios, la configuracin del mismo depende del usuario final, cuando se usan tneles de este tipo, el usuario puede simultneamente acceder a Internet y abrir un tnel seguro hacia el servidor PPTP. En este caso el cliente PPTP reside en el computador del usuario. Los tneles voluntarios proveen ms privacidad e integridad de los datos que un tnel permanente. La figura 5.3 muestra un escenario de tneles voluntarios creados desde dos clientes

distintos a un mismo servidor PPTP a travs de Internet.

Los tneles permanentes son creados sin el consentimiento del usuario, por lo tanto, son transparentes para el mismo. El cliente PPTP reside en el servidor de acceso remoto de la ISP al que se conectan los usuarios finales. Todo el trfico originado desde el computador del usuario final es reenviado por el RAS sobre el tnel PPTP. En este caso la conexin del usuario se limita solo a la utilizacin del tnel PPTP, no hay acceso a la red pblica (Internet) sobre la cual se establece el tnel. Un tnel permanente PPTP permite que mltiples conexiones sean transportadas sobre el mismo tnel. La figura 5.4 muestra un tnel

permanente entre un RAS con capacidad para encapsular sesiones PPP usando PPTP y por medio del cual van multiplexadas dos sesiones de clientes A y B.

Dado que los tneles permanentes tienen predeterminados sus puntos finales y que el usuario no puede acceder a Internet, estos tneles ofrecen mejor control de acceso que los tneles voluntarios. Otra ventaja de los tneles permanentes, es que reducen el ancho de banda utilizado, ya que mltiples sesiones pueden ser transportadas sobre un nico tnel, a diferencia de los tneles voluntarios donde cada sesin tiene que trabajar con cabeceras

independientes que ocupan un ancho de banda.

Una desventaja de los tneles permanentes es que la conexin inicial, es decir, entre el usuario final y el servidor de acceso que esta actuando como cliente PPTP, no hace parte del tnel, por lo tanto, puede ser vulnerable a un ataque.

Los tneles permanentes se dividen en estticos y dinmicos. Los tneles estticos son aquellos que requieren equipos dedicados y su configuracin es manual. En este tipo de tneles el usuario final tiene a su disposicin varios RAS, los cuales tienen establecidos diferentes tneles a diferentes servidores PPTP. Por ejemplo, si un usuario necesita hacer una VPN a su oficina regional ubicada en la ciudad A tiene que marcar un nmero X, pero si ese mismo usuario quiere hacer una VPN con su oficina en una ciudad B, tiene que marcar un nmero Y.

Los tneles permanentes dinmicos usan el nombre del usuario para determinar el tnel asociado con l, es decir que se encargan de aprovechar mejor los recursos y el usuario puede marcar al mismo nmero para establecer tneles a diferentes sitios. La informacin asociada con cada usuario puede residir en el servidor Radius en el cual ese servidor de acceso esta autenticando todas las conexiones.

Claramente se observa que los tneles permanentes estticos son ms costosos que los dinmicos, ya que involucran un servidor de acceso por cada destino que un cliente VPN quiera alcanzar.

2.10.1. MODELOS DE ENTUNELAMIENTO

En las VPN los sitios de terminacin (terminadores) de los tneles son aquellos donde se toman las decisiones de autenticacin y las polticas de control de acceso y donde los servicios de seguridad son negociados y otorgados. En la prctica hay tres tipos posibles de servicios de seguridad que dependen de la ubicacin de los terminadores. El primer caso es aquel donde el terminador est en el host mismo, donde los datos se originan y terminan. En el segundo caso el terminador est en el gateway de la LAN corporativa donde todo el trfico converge en un solo enlace. El tercer caso es aquel donde el terminador est localizado fuera de la red corporativa, es decir en un Punto de Presencia (POP) de la ISP.

Dado que un tnel VPN se compone de dos terminadores, se pueden obtener seis tipos de modelos de seguridad derivados de la posible combinacin de las diferentes localizaciones: End-to-End, End-to-LAN, End-to-POP, LAN-to-LAN, LAN-to-POP y POP-to-POP, en la figura 3.11 se notan cada uno de ellos.

En el modelo End-to-End el tnel va desde un extremo hasta el otro del sistema. Por lo tanto, los servicios de seguridad son negociados y obtenidos en la fuente y en el destino de la comunicacin. Este escenario presenta el ms alto nivel de seguridad dado que los datos siempre estn seguros en todos los segmentos de la red, bien sea pblica o privada. Sin embargo, el total de tneles que pueden haber en una empresa grande, dificulta el manejo de los servicios de seguridad requeridos por dichos host. Este modelo de seguridad es comnmente visto en implementaciones de capas superiores, como es el caso de SSL (Secure Sockets Layer). Tales implementaciones no son consideradas como modelos de entunelamiento.

En el caso de LAN-to-POP el tnel comienza en un dispositivo VPN localizado en la frontera de la red corporativa y termina en un dispositivo VPN el cual se encuentra en un POP de la ISP. En la actualidad prcticamente este modelo de entunelamiento no es aplicado.

Finalmente, en el modelo POP-to-POP ambos dispositivos VPN son localizados en la propia red de la ISP. Por lo tanto los servicios de seguridad son completamente transparentes para los usuarios finales del tnel. Este modelo permite a los proveedores de servicio implementar valores agregados a los clientes sin que stos alteren la infraestructura de sus redes.

De los seis modelos anteriores el End-to-LAN y el LAN-to-LAN son los ms extensamente usados en las soluciones VPN. Sin embargo, el POP-to-POP o modelo de seguridad basado en red, ha cobrado vigencia ltimamente dado que permite a las ISPs implementar servicios de valores agregados para sus clientes. En el modelo End-to-LAN, el tnel comienza en un host y termina en el permetro de una LAN en la cual reside el host destino. Un dispositivo VPN localizado en el permetro de la red es el responsable de la negociacin y obtencin de los servicios de seguridad de los host remotos. De esta manera, la seguridad de un gran nmero de dispositivos en una red corporativa puede ser manejada en un nico punto, facilitando as la escalabilidad del mismo. Dado que la red corporativa es considerada un sitio seguro, comnmente no hay necesidad de encriptar la informacin que transita dentro de ella. La mayora de implementaciones de acceso remoto VPN trabajan con este modelo.

El modelo de entunelamiento End-to-POP es aquel en el cual un host remoto termina el tnel en un POP de la ISP. Un dispositivo VPN o un equipo con funciones de terminador VPN y que se encuentra en la red de la ISP es el responsable por la negociacin y concesin de los servicios de seguridad. La entrega de los datos desde el POP hasta el host destino es por lo general asegurada con infraestructura fsica, la cual separa el trfico del resto de la red pblica.

Por lo general en este caso el ISP administra los permisos y controla el acceso segn las directivas de los administradores de red de las empresas clientes. La arquitectura de acceso remoto VPN tambin usa este modelo.

En el modelo LAN-to-LAN ambos hosts usan dispositivos VPNs situados en la frontera de la red corporativa para negociar y conceder servicios de

seguridad. De esta manera, las funciones de seguridad no necesitan ser implementadas en los hosts finales donde los datos son generados y recibidos. La

implementacin de los servicios de seguridad es completamente transparente para los hosts. Esta implementacin reduce drsticamente la complejidad en el manejo de las polticas de seguridad. La arquitectura Intranet VPN encaja en este modelo.

2.11.

PAQUETE DE ENCRIPTACIN IP

2.11.1. CAPAS Y CIFRADO DE RED

Existen diversos lugares en donde el encriptacin se puede construir dentro de una infraestructura de red existente, correspondientemente a los protocolos de las diferentes capas. 2.11.1.1. En el nivel de Red: Los paquetes que viajan entre los hosts en la red son encriptados. El motor de encriptacin se coloca cerca del driver que enva y recibe los paquetes. Una implementacin se encuentra en CIPE. 2.10.1.2. En el nivel de Socket: Una conexin lgica entre los programas que funcionan en diversos hosts (conexin TCP; capa de transporte o de sesin en OSI) es encriptada. El motor de encriptacin intercepta o procura conexiones. SSH y el SSL trabajan esta manera. 2.10.1.3. En el nivel de Aplicacin: Las aplicaciones contienen su propio motor del cifrado y cifran los datos ellos mismos. El mejor ejemplo sabido es PGP para cifrar correo.

El encriptado de bajo nivel esta implementado con CIPE, este tiene la ventaja que puede ser hecho para trabajar de manera transparente, sin ningn cambio a la aplicacin software. En el caso de los paquetes de encriptacin IP, este puede ser construido dentro de los routers IP que actan generalmente como "cajas negras" entre el trafico de ruta y el host, Los mismos hosts no ven como trabajan los routers. Un router de encriptacin se ve de manera tan exacta como un host que no cifra, sin ninguna diferencia vista por otros hosts y aplicaciones. Puede ser utilizada as en lugares donde no sean factibles los cambios de software a niveles ms altos. El encriptado de bajo nivel tiene la desventaja que no protege contra los intrusos en un nivel ms alto, por ejemplo. usos de Troyanos, bug exploit dentro del software del sistema o administradores pillos "sniffers" en los dispositivos terminales.

III. PROBLEMA IV. SOLUCION V. JUSTIFICACION

VI. DISEO EN PACKET TRACER 6.1. ESQUEMA DE RED SUCURSAL TRUJILLO 6.2. ESQUEMA DE RED SUCURSAL CORNIJO 6.3. ESQUEMA DE RED SUCURSAL PORVENIR 6.4. ESQUEMA DE LA SOLUCIN CON VPN VII. COSTO DE DISEO PROPUESTO

VIII. CONCLUSIONES